BitDefender, GSView und Curl wegen veralteter Kompressionsbibliothek verwundbar [Update]
Die Schwachstelle in der weit verbreiteten Kompressionsbibliothek zlib wurde bereits vielen Anwendungen zum Verhängnis. Updates sind bislang nicht erhältlich.
- Christiane RĂĽtten
Die bereits vor Jahren in der Kompressionsbibliothek zlib entdeckten Schwachstellen ziehen weitere Kreise. Jetzt hat Stefan Kanthak verwundbare zlib-Versionen im Virenscanner BitDefender 10 "Free Edition", dem Postscript-Betrachter GSView 4.8 und dem Download-Tool Curl 7.17.0 entdeckt. Die Lücken lassen sich von Angreifern mit Hilfe manipulierter Dokumente unter Umständen übers Netz ausnutzen, um beliebigen Schadcode mit Anwenderprivilegien ausführen zu lassen.
Die zlib-Version 1.1.3 des BitDefender-Scanners stammt sogar noch aus dem Jahr 1998 und enthält einen schwerwiegenden Double-Free-Programmierfehler (CA-2002-07). Die verwundbare zlib-Version soll auch BitDefender 7.2 und 8.0 beiliegen. Die aktuellen Windows-Versionen von GSView und Curl setzen auf zlib 1.2.2, das für einen Pufferüberlauf (CVE-2005-2096) anfällig ist.
Interessant ist auch, wie Kanthak zumindest einge anfällige Bibliotheken aufgespürt hat. Er setzte dazu den Open-Source-Virenscanner ClamAV ein, den er mit speziellen Signaturen fütterte; ein Verfahren das Florian Weimer vor zwei Jahren beschrieben hatte. Möglicherweise sind nicht nur die von Kanthak untersuchten Versionen, sondern auch ältere Versionen beziehungsweise die kommerziellen BitDefender-Varianten betroffen. Prekär ist, dass Kanthak offenbar keine Rücksprache mit den Herstellern gehalten hat. Fehlerbereinigte Versionen sind folglich bislang nicht erhältlich. Ein zuverlässiger Schutz ist daher nur gewährleistet, wenn die betroffenen Anwendungen deinstalliert werden.
Update:
Wie Kanthak gegenüber heise Security mitteilte, habe er die betroffenen Hersteller und Entwickler durchaus mehrfach kontaktiert. Nachdem über ein Jahr lang keine Reaktion erfolgt sei, habe er sich zur Veröffentlichung der Schwachstellen entschlossen, obwohl noch keine Updates verfügbar sind.
Siehe dazu auch:
- Softwin's anti-virus BitDefender contains vulnerable zlib (CA-2002-07), von Stefan Kanthak
- Windows binary of "GSview 4.8" contain vulnerable zlib (CAN-2005-2096), von Stefan Kanthak
- Official Windows binaries of "curl" contain vulnerable zlib 1.2.2 (CAN-2005-2096), von Stefan Kanthak
- Discovering copies of zlib in der Sektion Lesenswertes von heise Security
(cr)
